boundary

• Was ist Grenze: https://developer.hashicorp.com/boundary/docs/overview/what-is-boundary
• Website: https://www.boundaryproject.io/
• Foren: Hashicorp diskutieren
• Dokumentation: https://boundaryproject.io/docs
• Tutorials: Hashicorps Learn -Plattform

Boundary ist ein identitätsbewusster Proxy, der eine einfache, sichere Möglichkeit bietet, auf Hosts und kritische Systeme in Ihrem Netzwerk zuzugreifen.

Mit Grenze können Sie:

• Integrieren Sie Ihren IDP Ihrer Wahl mithilfe von OpenID Connect, sodass Benutzer sich sicher in ihre Grenzumgebung anmelden können
• Bieten Sie Just-in-Time-Netzwerkzugriff auf Netzwerkressourcen, wo immer sie wohnen
• Verwalten Sie Sitzungsdaten über einen nativen statischen Anmeldeinformationsspeicher oder generieren Sie dynamisch eindeutige Anmeldeinformationen pro Sitzung, indem Sie sich in das Hashicorp-Tresor integrieren
• Automatisieren Sie die Entdeckung neuer Endpunkte
• Verwalten Sie privilegierte Sitzungen mit den Sitzungskontrollen von Grenze von Boundary
• Standardisieren Sie den Access -Workflow Ihres Teams mit einer einheitlichen Erfahrung für jede Art von Infrastruktur für einen beliebigen Anbieter

Die Grenze ist unkompliziert zu verstehen, sehr skalierbar und belastbar. Es kann in Clouds, On-Prem, sicheren Enklaven und vielem mehr ausgeführt werden und muss nicht an jedem Ende des Hosts installiert werden, sodass er zusätzlich zu herkömmlichen Host-Systemen und -diensten für den Zugriff auf verwaltete/Cloud-Dienste und Container-basierte Workflows geeignet ist.

Weitere Informationen finden Sie in "Was ist Grenze?" Auf der Grenzwebsite.

Die Grenze besteht aus zwei Serverkomponenten:

• Controller , der die API dient und Sitzungsanfragen koordiniert
• Arbeiter , die die Sitzung der Sitzung durchführen

Eine reale Grenzinstallation besteht wahrscheinlich aus einer oder mehreren Controllern, die mit einem oder mehreren Arbeitern gepaart sind. Eine einzelne Grenz -Binärin kann entweder in oder beides dieser beiden Modi wirken.

Darüber hinaus bietet Boundary einen Desktop-Client und eine CLI für Endbenutzer an, um autorisierte Sitzungen zu Ressourcen in einem Netzwerk anzufordern und festzulegen.

Bei der Grenze muss keine Software auf Ihren Hosts und Diensten installiert werden.

Die Grenze hat zwei externe Abhängigkeiten:

• Eine SQL -Datenbank
• Mindestens ein km

Die Datenbank enthält die Konfigurations- und Sitzungsinformationen der Grenze. Die Controller -Knoten müssen in der Lage sein, auf die Datenbank zugreifen zu können.

Werte, die Geheimnisse (z. B. Anmeldeinformationen) sind, werden in der Datenbank verschlüsselt. Derzeit wird Postgresql als Datenbank unterstützt und mit Postgres 12 und höher getestet.

Die Grenze verwendet nur gemeinsame Erweiterungen, und sowohl gehostete als auch selbstverwaltete Fälle werden unterstützt. In den meisten Fällen benötigen Sie nur einen Datenbankendpunkt und die entsprechenden Anmeldeinformationen.

Boundary verwendet KMS -Schlüssel für verschiedene Zwecke, z. B. das Schutz von Geheimnissen, Authentifizierung von Arbeitnehmern, Wiederherstellung von Daten, Verschlüsseln von Werten in der Konfiguration von Grenz und mehr. Die Grenze verwendet die Schlüsselableitung ausgiebig, um die Schlüsselverbreitung dieser hochwertigen Schlüssel zu vermeiden.

Sie können die Transit Secrets Engine von Cloud KMS oder Vault verwenden, um die KMS -Anforderung zu erfüllen.

Das Ausführen von Grenze in einem dauerhafteren Kontext erfordert einige weitere Schritte, z. B. das Schreiben einiger einfacher Konfigurationsdateien, um den Knoten mitzuteilen, wie sie ihre Datenbank und KMS erreichen können. Die folgenden Schritte zusammen mit den zusätzlichen Informationen, die für dauerhafte Installationen benötigt werden, sind in unserem Installationshandbuch aufgeführt.

Euen Verwenden Sie den main , außer für Entwickler- oder Testfälle. Grenze 0.10 Einführte Freisetzungszweige, die sicher zu verfolgen sind, können jedoch bei Bedarf die Migrationen in main umnummeriert werden. Das Boundary -Team kann nicht in der Lage sein, Hilfe zu leisten, wenn die langen Langzeitergebnisse bei Migrationsbruch oder anderen Fehlern main ausführen.

Laden Sie die neueste Version des server binären und geeigneten Desktop -Clients (n) von unserer Download -Seite herunter

Die Grenze verfügt über einen dev , den Sie zum Testen verwenden können. Im dev -Modus können Sie sowohl einen Controller als auch einen Arbeiter mit einem einzigen Befehl starten und die folgenden Eigenschaften haben:

• Der Controller startet einen Postgresql -Docker -Container, der als Speicher verwendet wird. Dieser Container wird abgeschaltet und nach Möglichkeit entfernt, wenn der Controller anmutig heruntergefahren wird.
• Der Controller verwendet interne KMs mit kurzlebigen Schlüssel

Wenn Sie die folgenden lokalen Anforderungen erfüllen, können Sie schnell mit der Grenze einrichten:

• Go v1.21 oder mehr
• Docker
• Entweder die Grenz-UI-Abhängigkeiten für das lokale Gebäude des UI-Vermögens oder GH CLI zum Herunterladen vorgefertigter UI-Vermögenswerte.

Einfach rennen:

make install

Dies wird die Grenze aufbauen. (Wenn dies zum ersten Mal ausgeführt wird, holt und erstellt es UI -Vermögenswerte. Dies dauert ein paar zusätzliche Minuten.) Sobald sie fertig ist, führen Sie die Grenze im dev -Modus aus:

$GOPATH/bin/boundary dev

Bitte beachten Sie, dass die Entwicklung möglicherweise andere Tools erfordern. Um die Tools in den vom Grenzteam verwendeten Versionen zu installieren, rennen Sie:

make tools

Ohne dies können Sie beim Ausführen auf Fehler stoßen, make install . Es ist wichtig zu beachten, dass die Verwendung make tools verschiedene Tools installiert, die für die Grenzentwicklung zum normalen GO -Binärverzeichnis verwendet werden. Dies kann zu überschreiben oder Vorrang vor Tools haben, die möglicherweise bereits auf dem System installiert werden.

Starten Sie den Server Binär mit:

boundary dev

Dadurch wird ein Controller -Dienst gestartet, der unter http://127.0.0.1:9200 für eingehende API -Anfragen und einen Worker Service zuhört, der unter http://127.0.0.1:9202 für eingehende Sitzungsanfragen zuhört. Außerdem werden verschiedene Standardressourcen erstellt und verschiedene nützliche Informationen angezeigt, z. B. einen Login -Namen und ein Kennwort, mit dem sich die Authentifizierung befindet.

Für einen einfachen Grenztest im dev -Modus müssen Sie im Allgemeinen überhaupt keine Ressourcen konfigurieren! Es ist jedoch nützlich zu verstehen, was dev -Modus für Sie getan hat, damit Sie weitere Schritte unternehmen können. Standardmäßig erstellt der dev -Modus:

• Der global Bereich für die erste Authentifizierung, die eine Auth-Methode vom Typ Kennwort enthält, sowie ein Konto für die Anmeldung.
• Ein Organisationsumfang unter global und ein Projektumfang innerhalb der Organisation.
• Ein Hostkatalog mit einem Standard -Host -Set, der selbst einen Host mit der Adresse des lokalen Computers ( 127.0.0.1 ) enthält.
• Eine Zielzuordnung des Hosts auf einen Satz von Verbindungsparametern mit einem Standardport von 22 (z. B. SSH)

Sie können in die Web -Benutzeroberfläche von Boundary gehen oder ihre API verwenden, um diese Standardwerte zu ändern, beispielsweise wenn Sie eine Verbindung zu einem anderen Host herstellen möchten, oder den Port, an dem eine Verbindung hergestellt werden soll, ändern möchten.

Lassen Sie uns als nächstes über die Grenze eine Verbindung zu Ihrem lokalen SSH -Daemon herstellen:

1. Authentifizieren zur Grenze; Unter Verwendung von Standard dev handelt es sich um boundary authenticate password -auth-method-id ampw_1234567890 -login-name admin -password password . (Beachten Sie, dass Sie, wenn Sie das password nicht angeben, dazu aufgefordert werden.)
2. Führen Sie boundary connect ssh -target-id ttcp_1234567890 . Wenn Sie den Benutzernamen anpassen möchten, übergeben Sie -username <name> an den Befehl.

Überprüfen Sie die Möglichkeiten für die Zielkonfiguration, um die Anzahl der Verbindungen pro Sitzung einzuschränken (oder zu erhöhen) oder ein maximales Zeitlimit festlegen. Versuchen Sie, eine aktive Sitzung von der Seite der Sitzungen oder über boundary sessions abzubrechen, Ihre eigenen Befehle mit boundary connect -exec usw.

Dieses Beispiel ist ein einfacher Weg, um loszulegen, lässt jedoch mehrere wichtige Schritte aus, die in einem Produktionskontext unternommen werden können:

• Verwenden einer Firewall oder anderer Mittel, um die Menge der Hosts einzuschränken, die zu einem lokalen Dienst nur an Grenzarbeiterknoten hergestellt werden können, wodurch die Grenze zum einzigen Mittel zur Ein-
• Verwenden des Grenz-Terraform-Anbieters, um die Grenze einfach in Ihre vorhandene codebasierte Infrastruktur zu integrieren
• Zeigen Sie ein BI -Tool (Powerbi, Tableau usw.) im Data Warehouse von Boundary, um Erkenntnisse zu generieren und nach Anomalien in Bezug auf den Sitzungszugriff zu suchen

Bitte beachten Sie : Wir nehmen die Sicherheit von Boundary und das Vertrauen unserer Benutzer sehr ernst. Wenn Sie der Meinung sind, dass Sie ein Sicherheitsproblem in der Grenze gefunden haben, geben Sie bitte verantwortungsbewusst an, indem Sie uns unter [email protected] kontaktieren.

Vielen Dank für Ihr Interesse am Beitrag! Weitere Informationen finden Sie unter Bereitstellungen.md, um Anleitungen zu erhalten.